連接 Razer 鼠標(biāo)就足以獲得標(biāo)準(zhǔn)用戶(hù)的管理權(quán)限。背景是使用系統(tǒng)權(quán)限執(zhí)行驅(qū)動(dòng)程序安裝，然后用戶(hù)可以打開(kāi)管理提示。他已經(jīng)擁有對(duì)系統(tǒng)的管理訪問(wèn)權(quán)限。Razer 沒(méi)有回應(yīng)漏洞發(fā)現(xiàn)者的請(qǐng)求。

任何可以直接訪問(wèn) Windows 10 系統(tǒng)的人都可以在那里做各種骯臟的事情。然而，我很驚訝通過(guò)插入鼠標(biāo)以標(biāo)準(zhǔn)用戶(hù)的身份獲得管理權(quán)限是多么容易。

將 Razer 鼠標(biāo)(或加密狗)連接到 Windows 10 計(jì)算機(jī)的 USB 端口就足夠了。然后通過(guò) Windows 更新下載 RazerInstaller 并以 SYSTEM 身份運(yùn)行。在上面推文中嵌入的視頻中，您可以看到如何指導(dǎo)用戶(hù)在標(biāo)準(zhǔn)用戶(hù)帳戶(hù)下完成驅(qū)動(dòng)程序安裝步驟。到目前為止一切順利。在安裝過(guò)程中，可以從下載文件夾中選擇 Razer 驅(qū)動(dòng)程序

但是，在驅(qū)動(dòng)程序選擇對(duì)話框中，也可以調(diào)用用于打開(kāi) PowerShell 控制臺(tái)的上下文菜單。在這里已經(jīng)可以想象為驅(qū)動(dòng)程序指定桌面或另一個(gè)用戶(hù)控制的文件夾作為目標(biāo)文件夾。然后通過(guò)交換驅(qū)動(dòng)程序文件或可能的 DLL 劫持進(jìn)行劫持是可能的。

但還有更多。由于驅(qū)動(dòng)程序安裝以 SYSTEM 權(quán)限運(yùn)行，因此對(duì)話框也獲得這些權(quán)限。SYSTEM 權(quán)限也會(huì)傳遞到 PowerShell 控制臺(tái)窗口。默認(rèn)用戶(hù)現(xiàn)在具有管理權(quán)限。Will Dormann 指出，這種情況適用于所有要求通過(guò) USB 設(shè)備安裝的驅(qū)動(dòng)程序。

順便說(shuō)一下，每次 USB 設(shè)備連接到新的 USB 端口時(shí)都會(huì)觸發(fā)此安裝。整個(gè)事情還有另一個(gè)方面。使用適當(dāng)?shù)脑O(shè)備，可以模擬 Razer 鼠標(biāo)的硬件 ID。

硬件 ID：usb\vid_1532&pid_0078&mi_02

更新 ID：f3073b05-17af-4abf-98a1-d93b4c5af0cd

@jonhat 試圖就此問(wèn)題聯(lián)系 Razer，但未成功。只是因?yàn)楝F(xiàn)在出現(xiàn)了 Twitter 討論，Razer 社交媒體團(tuán)隊(duì)的某個(gè)人聯(lián)系了我們并希望處理它。